FFinTech

Quo vadis, Finanzbranche? DORA wird wirksam

Quo vadis, Finanzbranche? DORA wird wirksam 1
0
Shares
0
0
0
0
0
0

Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) ist ein bedeutender Meilenstein in der Regulierung der digitalen Widerstandsfähigkeit von Finanzunternehmen innerhalb der Europäischen Union (EU). Mit dem Inkrafttreten der DORA am 17. Januar 2025 stehen Unternehmen aus der Finanz- und Versicherungsbranche vor umfassenden Verpflichtungen und Herausforderungen zur Sicherstellung ihrer digitalen operationalen Resilienz.

Die Auswertung des durch die Kanzlei Annerton branchenintern durchgeführten Tests zum DORA-Reifegrad zeigt, dass sich die betroffenen Finanzunternehmen und ihre IKT-Dienstleister noch nicht für DORA bereit fühlen und ihren eigenen Reifegrad zwar fortgeschritten aber noch nicht vollständig den Anforderungen entsprechend einschätzen.

Was bedeutet das Wirksamwerden von DORA?

Das Inkrafttreten von DORA markiert grundlegende Veränderungen für die Compliance- und Risikomanagementprozesse der betroffenen Finanzunternehmen und ihrer IKT-Drittdienstleister. Die Finanzunternehmen sind u.A. verpflichtet, folgende Maßnahmen zu ergreifen:

1. Stärkere Anforderungen an die operationale Resilienz

  • robuste Sicherheitsmaßnahmen: Finanzunternehmen sind verpflichtet, robuste IT-Systeme und Prozesse zu implementieren, um Cyberangriffen und anderen technologischen Risiken effektiv standzuhalten.
  • Systematische Risikobewertung: Finanzunternehmen müssen regelmäßig die Risiken in ihrer IT-Infrastruktur analysieren, bewerten und adressieren.
  • Regelmäßige Tests: Die Durchführung von regelmäßigen Tests (z. B. Penetrationstests) zur Identifikation von Schwachstellen wird zur Pflicht.

2. Höherer Compliance-Aufwand

  • Einrichtung neuer Governance-Strukturen: Unternehmen müssen klare Verantwortlichkeiten definieren und umfassende Richtlinien für das IKT-Risikomanagement einführen. Neue Funktionen und Rollen sind zu benennen. Die Geschäftsleitung wird stärker in die Verantwortung für die IKT-Risken des Unternehmens genommen.
  • Detaillierte Dokumentation: Die Einhaltung der DORA-Vorgaben erfordert eine viel umfassendere Dokumentation von IT-Prozessen, -Tests und -Maßnahmen als bisher. Es entsteht ein sehr hoher Aufwand für die Aktualisierung von internen Richtlinien und Verfahrensbeschreibungen und Implementierung von ggfs. neuen Dokumentationen, um die DORA-Vorgaben einzuhalten.
  • Neue Klassifizierung von IKT-Vorfällen: DORA bringt neue Anforderungen zur Klassifizierung von IKT-Vorfällen mit sich. Die Meldepflichten in Fällen von schwerwiegenden IKT-Vorfällen wurden ausgebaut, vereinheitlicht und präzisiert.

3. Management des IKT-Drittparteien-Risikos

  • Vertragliche Anforderungen: Finanzunternehmen müssen ihre Verträge mit IKT-Drittanbietern anpassen und erweitern, um den DORA-Vorgaben zu genügen. Dadurch sollen sie diemit der Beauftragung von Dritten verbundenen Risiken besser steuern und kontrollieren. Die vorgehende neue Einstufung der IKT-Bezüge und IKT-Auslagerungen als „IKT-Dienstleistung“ und die Kritikalitätsbewertung der IKT-Dienstleistungen ist dabei eine von vielen Herausforderungen.
  • Strengere Anforderungen an IKT-Dienstleister: Unternehmen, die kritische IKT-Dienstleistungen von Drittanbietern (z. B. Cloud-Services) nutzen, müssen sicherstellen, dass sie ebenfalls den Anforderungen von DORA an die IT entsprechen und vor allem eigene Risikomanagementsysteme zur Aufrechterhaltung der digitalen Resilienz und zur Steuerung und Kontrolle ihrer Sub-Auslagerungen vorhalten.
  • Erhöhte Transparenz: Anbieter, die als kritische IKT-Dienstleister eingestuft werden, unterliegen zukünftig verstärkter Aufsicht, wodurch auch die Abhängigkeit von IKT-Dienstleistern innerhalb der Finanzbranche sichtbar gemacht werden soll.

DORA enthält viele weitergehende Anforderungen an die interne IKT-Governance, an das IKT-Risikomanagement, den Umgang mit IKT-Sicherheitsvorfällen, an die Sicherstellung der digitalen Betriebsstabilität sowie die Überwachung und Risikosteuerung bei Auslagerungen an und Fremdbezug von IKT-Drittanbietern.

Ist die Finanzbranche bereit für DORA?

Nach der Verabschiedung am 14.12.2022 und dem Inkrafttreten am 17.01.2023 wurde für DORA eine Übergangsfrist eingeräumt, um betroffenen Unternehmen ausreichend Zeit zur Vorbereitung und Umsetzung der Anforderungen zu geben. Diese Übergangsfrist endet nun mit dem 17.01.2025 und die DORA-Anforderungen müssen seither vollständig implementiert und umgesetzt sein.

Die Umsetzung von DORA ist der Finanzbranche bisher wohl noch nicht vollständig gelungen. Es bestehen derzeit noch viele Unsicherheiten und die noch fehlende Aufsichtspraxis führt offenbar auch zu Fehlinterpretationen und sehr konservativen Auslegungen der DORA-Anforderungen. Das betrifft beispielsweise die Einordnung der von den IKT-Drittanbietern bezogenen Dienstleistungen als IKT-Dienstleistungen im Sinne von DORA oder Eigenschaft als IKT-Dienstleister von beaufsichtigten Finanzunternehmen.

Die Kanzlei Annerton hat die Finanzbranche in den letzten 6 Monaten zu ihrer DORA-Umsetzung befragt und über einen Selbst-Test den DORA-Reifegrad der sich an der Befragung beteiligten Finanzunternehmen und der IKT-Dienstleister ausgewertet. Der Test ist erreichbar unter www.annerton.com/dora.

Die Auswertung des Selbst-Tests zeigt, dass sich die Finanzunternehmen nur etwa zu 60% DORA-konform einschätzen und insbesondere im Bereich des IKT-Risikomanagements noch Lücken sehen. Auch bei der operationalen Resilienz ihrer Betriebssysteme erkennen die Finanzunternehmen noch größere Lücken.

Quo vadis, Finanzbranche? DORA wird wirksam 2

Bei den IKT-Dienstleistern, die die Finanzunternehmen mit ihrem Service unterstützen, bestehen große Unsicherheiten vor allem im Vertragswesen und im Bereich der Subauslagerungen. Grundsätzlich schätzen die Finanzunternehmen ihre DORA-Konformität geringer ein als die IKT-Dienstleister. Die IKT-Dienstleister fühlen sich nach der Umfrage zu etwa 70 % DORA-konform.

Quo vadis, Finanzbranche? DORA wird wirksam 3

Interessant ist, dass die Finanzunternehmen sich mit fortlaufender Annäherung an den 17.01.2025 sicherer fühlen und ihre DORA-Konformität höher einschätzen, während die IKT-Dienstleister vor 6 Monaten noch eher überzeugt von ihrer DORA-Reife waren und ihre Selbsteinschätzung zu ihrer DORA-Konformität mit Annäherung an den 17.01.2025 abnimmt. Der Trend geht daher bei den Finanzunternehmen eher in Richtung vollständiger DORA-Reife, während sich der Trend bei den IKT-Dienstleistern abnehmend entwickelt. Offenbar erkennen die IKT-Dienstleister erst jetzt die Auswirkungen von DORA vollständig und haben daher ihre Selbsteinschätzung nach unten korrigiert. Dieser Trend dürfte dem Umstand geschuldet sein, dass die Finanzunternehmen ihre IKT-Dienstleister zunehmend unter Druck setzen, ihre DORA Compliance nachzuweisen und in den entsprechenden Verträgen zu dokumentieren.

Quo vadis, Finanzbranche? DORA wird wirksam 4

Natürlich variiert die Selbsteinschätzung der DORA-Reife innerhalb der Finanzbranche sehr stark, da die Finanzunternehmen in Bezug auf ihre digitale operationale Resilienz unterschiedliche Ausgangspunkte haben. Die Einschätzung hängt von der Größe, den vorhandenen IKT-Ressourcen und der bisherigen Erfahrung mit regulatorischen Anforderungen ab. Große Banken, Zahlungsinstitute und Versicherer mit umfassender IT-Infrastruktur und bestehendem IKT-Risikomanagement sehen sich oft als gut vorbereitet, weil sie bereits umfassende Prozesse zur IT-Sicherheit und zum Auslagerungsmanagement etabliert haben. Auch die Erfahrungen aus den Gesprächen mit der Aufsicht und den jährlichen Audits haben für eine ständige Verbesserung im Bereich der IT-Anforderungen gesorgt. Kleine und mittelgroße Finanzunternehmen sehen dagegen größere Herausforderungen. Häufig fehlt es dort noch an ausreichenden Ressourcen, spezialisierten Fachkräften oder der nötigen Infrastruktur, um den Anforderungen von DORA gerecht zu werden.

Die ständige Überprüfung des eigenen DORA-Reifegrads und gezielte Investitionen in IT-Systeme und Personal sind insgesamt entscheidende Faktoren, um die erforderliche vollständige DORA-Compliance zu erreichen.

Unterstützung durch die Aufsicht

Ein wesentlicher Aspekt, der die Finanzunternehmen im Zusammenhang mit der Anwendbarkeit der DORA vor viele Fragen stellt, ist der Umgang mit der gefühlten Redundanz der DORA-Anforderungen und den bisher bestehenden aufsichtsrechtlichen Anforderungen an die IT. Um diese Herausforderungen und um etwaige Doppel-Regulierungen für die Finanzunternehmen zu adressieren, hat die BaFin ihre branchenspezifischen Rundschreiben zu den Anforderungen an die IT-Sicherheit

  • die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT),
  • die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und
  • die Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)

nunmehr mit Wirkung ab dem 17.01.2025 aufgehoben.

Die Aufhebung der Bankaufsichtlichen Anforderungen an die IT (BAIT) wird schrittweise erfolgen, wobei Institute, die ein IKT-Risikomanagement nach Art. 5-15 oder Art. 16 der DORA betreiben müssen, ebenfalls ab dem 17. Januar 2025 nicht mehr in den Anwenderkreis der BAIT fallen. Das betrifft vor allem Kreditinstitute und Finanzdienstleistungsinstitute im Sinne des Art. 1 Abs. 1b KWG, die gemäß Art. 2 DORA in den Anwendungsbereich von DORA fallen. Zudem hebt die BaFin Kapitel 11 der BAIT (Kundenbeziehungen mit Zahlungsdienstnutzern) für alle verbleibenden Adressanten auf.

Außerdem hat die BaFin zum 17.01.2025 das Rundschreiben 03/2022 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle gemäß § 54 Abs. 1 ZAG, die für alle Zahlungsinstitute, E-Geld-Institute und CRR-Kreditinstitute galten, aufgehoben. Wie bereits durch Erwägungsgrund 23 der DORA verlangt, haben CRR-Kreditinstitute, E-Geld-Institute, Zahlungsinstitute und Kontoinformationsdienstleister alle zahlungsbezogenen Betriebs- oder Sicherheitsvorfälle, die vormals gemäß der dem Rundschreiben 03/2022 zugrunde liegenden Richtlinie (EU) 2015/2366 gemeldet wurden, ab dem 17.01.2025 nur noch nach DORA zu melden. Die entsprechende Regelung des § 54 ZAG wurde durch Art. 12 Ziffer 14 des Finanzmarktdigitalisierungsgesetzes entsprechend angepasst. In diesem Zusammenhang gilt laut BaFin die Übergangsregelung, dass für Vorfälle, für die eine Erstmeldung vor dem 17.01.2025 erfolgt ist, auch nach dem 17.01.2025 eine Zwischen- und Abschlussmeldungen gemäß den Vorgaben des Rundschreibens 03/2022 (BA) über das Fachverfahren PSD2-Zahlungssicherheitsvorfälle in der Melde- und Veröffentlichungsplattform (MVP) der BaFin zu melden.

Vorfälle, die sich ab dem 17.01.2025 ereignen, unterliegen nur noch den Meldepflichten nach Kapitel III DORA. Die BaFin fungiert dabei als zentraler Meldehub für alle unter ihrer Aufsicht stehenden Finanzunternehmen. Die bisher parallel erforderlichen Meldungen der KRITIS-Unternehmen an die Bundesbank entfallen. Die Meldungen sollen allein über das MVP-Portal eingereicht werden. Eine entsprechend vorab erfolgte Freischaltung für das Fachverfahren „Digital Operational Resilience Act (DORA)“ ist hierzu notwendig.

Bei der aktuellen Anpassung der bisherigen Anforderungen an das IKT-Riskmanagement der Finanzunternehmen und deren Aufsicht sollten die Finanzunternehmen besonders genau evaluieren, welche Konsequenzen die jeweiligen Anpassungen für sie haben. So bleiben zum Beispiel die statistischen Meldungen zu Betrugsfällen in Verbindung mit den unterschiedlichen Zahlungsmitteln nach § 54 Abs. 5 ZAG an die BaFin bestehen. Auch das Aufsichtsregime für Auslagerungen nach MaRisk/ZAG-MaRisk bleibt trotz Aufhebung der xAIT weiterhin bestehen.

Insgesamt ist jedoch erkennbar, dass die BaFin sich bemüht, die von DORA betroffenen Finanzunternehmen durch verschiedene Publikationen wie z.B. die Übersicht über die Dokumentationsanforderungen nach DORA oder Erläuterungen zum DORA-Informationsregister zu unterstützen. Eine entsprechende Aufsichtspraxis wird sich jedoch erst in den kommenden
Monaten und Jahren herausbilden.

Ausblick:

Obwohl DORA bereits seit zwei Jahren verabschiedet ist und die Aufsichtsbehörden durch Workshops und Veröffentlichungen die Implementierung erleichtern, zeigt sich, dass ein großer Teil der Finanzbranche noch nicht hinreichend vorbereitet ist. Die Anforderungen von DORA erfordern nicht nur technische Anpassungen, sondern auch tiefgreifende organisatorische und prozessuale Veränderungen. Insbesondere kleinere Marktteilnehmer scheinen Schwierigkeiten zu haben, die erforderlichen Maßnahmen rechtzeitig umzusetzen. Die IKT-Dienstleister, die die Finanzunternehmen mit ihren IT-Dienstleistungen versorgen, sehen sich einerseits vor enorme Herausforderungen gestellt, die Anforderungen der DORA zu erfüllen und geben diesen Druck auf der anderen Seite auch durch Erhöhung von Gebühren und Kosten an die Finanzunternehmen zurück.

Wohin der Weg der Finanzbranche in Sachen DORA geht, wird sich erst in den kommenden Monaten und Jahren zeigen, wenn sich Standards und Aufsichtspraxis herausgebildet haben. Die Unschärfen und Unsicherheiten, die im Moment bestehen, werden sich erstmals legen, wenn die Auditierungszyklen für 2025 erfolgt sind. Derzeit besteht der Eindruck, dass die Aufsicht zumindest manche Herausforderungen der Branche gesehen hat und durch Veröffentlichungen weitere Klarheit schaffen möchte.

0
0

Josefine Spengler ist Rechtsanwältin und Fachanwältin für IT-Recht im Berliner Büro von Annerton. Sie verfügt über langjährige Inhouse-Erfahrung als Head of Legal und Datenschutzbeauftragte bei einem Payment Service Provider. Als Expertin im IT- und FinTech-Segment berät Josefine Spengler nationale und internationale Mandanten in allen Fragen an der Schnittstelle zwischen Regulierungsrecht und IT-Recht sowie zu Compliance- und AML-Themen. Josefine Spengler ist regelmäßig Referentin bei Veranstaltungen zum IT-Recht und zu regulatorischen Anforderungen an die IT von Finanzunternehmen.

Svetlana ist Rechtsanwältin bei der Annerton Rechtsanwaltsgesellschaft mbH. Sie berät nationale und internationale FinTech-Unternehmen sowie Finanzdienstleistungsinstitute in Fragestellungen des IT- und Datenschutzrechts sowie im gewerblichen Rechtsschutz. Ihre Beratungsschwerpunkte liegen im Bereich Outsourcing, IT-rechtlicher Vertragsgestaltung sowie bei den regulatorischen Anforderungen an die Zahlungsdienstleister im Schnittstellenbereich des IT-, Datenschutz- und Finanzaufsichtsrechts.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like